「ホエールング攻撃」の解説：経営幹部が高額な標的となる理由

FBIのインターネット犯罪苦情センター（IC3）によると、2024年だけで、ビジネスメール詐欺により組織が被った損害額は27億7000万ドルに上った。この驚異的な数字の背景には、特に危険な種類の フィッシング の特に危険な亜種である「ホエールング攻撃」が潜んでいる。この攻撃では、攻撃者が数週間にわたる調査を行い、CEO、CFO、あるいは取締役会メンバーを標的とした、たった1通の破壊的なメッセージを作成する。AI生成のディープフェイク動画や音声クローンといったソーシャルエンジニアリングの手法が進化する中、経営幹部や彼らを守るセキュリティチームにとって、そのリスクはかつてないほど高まっている。

ホエール攻撃とは何ですか？

ホエールング攻撃とは、財務取引、戦略的決定、および機密性の高い組織データに対する権限を持つ経営幹部、取締役、および上級管理職を標的とした、極めて的を絞った フィッシングの一種です。広範囲な フィッシング キャンペーンとは異なり、ホエールング攻撃者は、経営幹部の役割特有のプレッシャーや責任を巧みに利用したメッセージを作成するために、事前の調査やメッセージの個別化に多大な時間を費やします。

NISTは、ホエールフィッシングを「特定の種類の フィッシング の一種であり、組織の上級幹部を標的とするもの」と定義している（CNSSI 4009-2015）。ホエーリングが特に危険である理由は、標的となる人物の重要性と、ますます高度化する攻撃手法が組み合わさっている点にある。FBIのIC3によると、過去10年間のBECによる累積被害額は555億ドルに達しており、攻撃者がAIを活用した戦術を採用するにつれて、被害額は加速している。

経営幹部は、いくつかの理由から特に標的になりやすい。彼らは、追加の承認なしに多額の送金を承認する権限を持っている。また、緊急の要請に対するもっともらしい口実となり得る機密事項を日常的に扱っている。さらに、プレスリリース、SECへの提出書類、LinkedIn、カンファレンスへの出席などを通じて、広く公にその存在が知られており、攻撃者にとって詳細な情報収集の材料となっている。そして、Proofpointの脅威インテリジェンスによると、経営幹部は標的型 フィッシング 攻撃に直面しています。

捕鯨攻撃の標的は誰なのか？

最も一般的な捕鯨の対象には、次のようなものがあります：

• CFOや財務責任者――支払承認権限を持つことから、電信送金詐欺の主な標的となっている
• CEOやCOO――戦略的なデータが狙われ、部下を狙うために彼らになりすまされるケースが多い
• 法務担当役員および法務担当者— 偽りの法的・規制上の口実を利用して悪用される
• 取締役および役員— M&Aやガバナンス関連の事案において標的とされる
• エグゼクティブ・アシスタントやチーフ・オブ・スタッフ――経営陣の連絡内容やスケジュールにアクセスできる仲介役として標的とされる
• 人事部長――給与横領や従業員データの盗難の標的となっている

捕鯨の攻撃の仕組み

フィッシング攻撃者は、体系的なライフサイクルに従って攻撃を行うため、こうした攻撃は機会主義的な フィッシングとは一線を画す、体系的なライフサイクルに従います。各段階は、攻撃者による投資であると同時に、セキュリティチームにとっての潜在的な検知の機会でもあります。

第1段階：標的の選定。攻撃者は、企業のウェブサイト、SECへの提出書類、プレスリリース、ソーシャルメディアを通じて、重要な役職にある幹部を特定する。そして、財務上の権限、社会的認知度、組織内での役割に基づいて標的を評価する。

第2段階：偵察。攻撃者は、標的のコミュニケーションスタイル、ビジネス上の関係、出張スケジュール、および進行中の取引を調査する。この段階は数週間続くこともあり、公開情報と過去の侵害事件から得られたデータを組み合わせて活用する。

第3段階：口実の作り込み。攻撃者は、標的の実際の業務状況に沿った、信憑性のあるシナリオ（緊急の買収案件、機密性の高い法的問題、規制遵守に関する問題など）を仕立て上げます。この口実は緊急性を演出すると同時に機密保持を要求するため、標的が事実確認を行うことを躊躇させることになります。

第4段階：攻撃の実行。攻撃は、なりすましメールや乗っ取られたビジネスアカウントを通じて行われるほか、最近ではメール、電話、ビデオ会議を組み合わせたマルチチャネル手法によるケースも増加しています。APWGの調査によると、2024年第4四半期のBECによる送金要求の平均額は128,980ドルに達しました。

ステージ5：悪用。標的が反応すると、攻撃者は迅速に価値を搾取する動きに出る。具体的には、送金の承認、アカウント乗っ取りのための認証情報の収集、機密データの持ち出し、あるいはネットワーク内を横方向に移動するための持続的なアクセス権の確立などを行う。

一般的な捕鯨の攻撃戦術

調査によると、BEC攻撃の89%は、CEO、CFO、IT部門の責任者といった権威ある人物になりすましています。最も一般的な手口には、次のようなものがあります：

• 機密取引を名目に、緊急の送金を求めるCEOを装ったメール
• 経営陣が承認した支払プロセスを標的としたベンダーメール侵害（VEC）
• 罰則をちらつかせて即時の対応を要求する、詐欺的な法的または規制関連の連絡
• 役員を装い、給与振込先口座の変更を求める不正な依頼
• 取締役会資料、財務報告書、またはM&A関連文書を装った悪意のある添付ファイル

捕鯨の種類と主な比較

経営幹部を標的とした攻撃の分類を理解することは、効果的な防御策を構築するために不可欠です。「ホエーリング」は単一の攻撃手法ではなく、関連する脅威の総称であり、それぞれに対して固有の検知・防止アプローチが必要です。

ビジネスメール詐欺（BEC）は最も広範なカテゴリーであり、企業アカウントのなりすましや不正利用を用いたあらゆるメールベースの詐欺を含みます。ベンダーメール詐欺（VEC）は、Fortraの調査によると2024年上半期に66%増加した急増中の手口であり、経営陣が承認したベンダーへの支払いプロセスを標的とし、不正な請求書を挿入したり、支払い指示を変更したりします。給与振り替え詐欺は、経営陣になりすまして従業員の給与振込先を変更する手口です。マルチチャネル・ホエーリングは、電子メールと電話、ビデオ会議を組み合わせて、多層的な欺瞞を仕掛ける手口です。

捕鯨とCEOによる不正：決定的な違い

業界関係者の多くは「ホエーリング」と「CEO詐欺」を同義語として扱っていますが、セキュリティ実務者にとっては、シスコとプルーフポイントが区別している方向性の違いを理解しておくことが有益です：

• ホエールングは経営幹部を標的とします。経営トップ層のリーダーは、悪意のあるメッセージを受け取り、行動を起こすよう操られる被害者となります。
• CEO詐欺とは、経営幹部になりすます手口のことである。経営幹部の権威を信頼している部下、取引先、あるいはパートナーを標的とするため、その身元が悪用される。

この区別が重要なのは、攻撃の手口ごとに異なる対策が必要となるためです。ホエール攻撃対策では、研修や本人確認手順を通じて経営幹部を保護することに重点が置かれます。一方、CEO詐欺対策では、認証手段による経営幹部の身元確認に加え、権限を悪用した要求に対して従業員が異議を申し立てられる体制の構築に重点が置かれます。

フィッシング 対 スピア フィッシング 対ホエールフィッシング

比較 フィッシング 標的の精度と典型的な影響によるフィッシング攻撃の種類の比較。

捕鯨による攻撃はすべて、一種の槍による攻撃である フィッシングの一種であり、そのほとんどはBECに該当します。しかし、すべてのBEC攻撃がホエールングであるわけではありません。BECには、中間管理職や経理担当者を標的とした、より低レベルのなりすまし攻撃も含まれます。

AIとディープフェイクを活用したフィッシング攻撃の進化

過去3年間におけるフィッシング攻撃の手口の最も大きな変化は、AIを活用したディープフェイク技術の採用である。かつては電子メールのみによる脅威であったものが、動画、音声、メッセージングプラットフォームを同時に悪用する、多チャンネルにわたる経営幹部なりすましキャンペーンへと進化している。

現在、音声クローン技術では、わずか20～30秒の録音音声があれば、説得力のある合成音声を生成できるようになっており、一部のプラットフォームではわずか3秒の録音で実用的な結果を得られるようになっている。Cybleによると、2025年に利用が急増した「Deepfake-as-a-Service（DaaS）」プラットフォームは、経営幹部のなりすましを誰でも容易に行えるようにし、技術的な知識が乏しい攻撃者でもこうした攻撃を実行できるようにした。

この変化は数字にも表れています。 2025年第1四半期には、ディープフェイクを利用したフィッシング詐欺が2024年末と比較して1,600%以上急増しました。AIを活用した詐欺の手口は前年同期比で118%増加し、2025年第1四半期だけで北米におけるディープフェイク詐欺による被害額は2億ドルを超えました。こうした傾向から、AIを活用したフィッシング、経営幹部が直面する脅威の動向において、最も急速に進化している攻撃カテゴリーとなっています。

最近のディープフェイクによる「ホエールング」の事例

Arup（2,560万ドル、2024年1月）。これまでで最も重大なディープフェイクを用いた「ホエールング」攻撃において、犯罪者らはAIを用いて、ビデオ会議に参加しているArupの複数の幹部の偽の映像を作成した。香港オフィスの財務担当社員は当初、不審に思い フィッシング を疑っていたが、通話中に本物に見える同僚の姿を見て騙されてしまった。この従業員は、攻撃者が管理する5つの口座に対し、計2,560万ドルに上る15件の送金を承認してしまった。CNNと 世界経済フォーラムは、この事件をAIを活用した役員詐欺の分水嶺となる出来事として記録している。

シンガポールの多国籍企業（被害額49万9,000ドル、2025年3月）。攻撃者はZoom通話でディープフェイク技術を用いて同社のCFOになりすまし、財務担当社員を説得して資金の送金を行わせた。この攻撃ではWhatsAppのメッセージとディープフェイクによるビデオ会議を組み合わせており、現代の「ホエールング」を特徴づけるマルチチャネル型の手法が示された。

イタリアのクロセット国防相の音声クローン事件（2025年2月）。イタリアの国防相になりすましたAI音声クローンが、ジョルジオ・アルマーニやマッシモ・モラッティといった著名なビジネスリーダーを標的にし、手口が発覚するまでに約100万ユーロをだまし取った。

実際の捕鯨

捕鯨船への襲撃がもたらす経済的・運営上の影響は、単なる盗難にとどまらない。経営陣の責任追及、評判の失墜、規制当局による制裁、そして事業閉鎖などが、実際に確認されている結果である。

捕鯨業界およびCEOによる不正事件の主要な事例研究：その手口の高度化と財務的影響の拡大を示す。

IBMの「データ侵害のコストに関するレポート」によると、2024年のBEC（ビジネスメール詐欺）による データ侵害の平均コストは489万ドルに達した。Hoxhuntの調査によると、従業員数5万人以上の組織は、ほぼ100％の確率で毎週BECのリスクに直面しており、2024年から2025年にかけて、63～70％の組織がBECの攻撃を受けた。

レヴィタス・キャピタル事件は、捕鯨がもたらす影響のうち、しばしば見過ごされがちな側面を浮き彫りにしている。直接的な損失は約80万ドルにとどまったものの、評判の失墜により同ファンドの最大顧客が撤退し、事業は完全に閉鎖を余儀なくされた。初期のセキュリティ侵害が連鎖的に拡大し、事業の存続そのものを脅かすに至るというこの「インサイダー・リスク」のパターンは、ますます一般的になりつつある。

ホエールフィッシング攻撃の検知と防止

効果的なホエールフィッシング対策には、電子メールの認証、管理職向け研修、振る舞い 、および文書化されたインシデント対応手順など、多層的な対策が必要です。単一の技術やプロセスだけでは、ホエールフィッシングを阻止することはできません。

1. DMARC、SPF、およびDKIMのメール認証を「拒否」ポリシーで導入する
2. AIを活用したメールセキュリティを導入し、振る舞い 分析する
3. 経営幹部向けの捕鯨シミュレーション研修プログラムを実施する
4. 所定の閾値を超える金融取引については、二重承認を義務付ける
5. すべての経営陣からの要求に対して、アウト・オブ・バンド検証プロトコルを確立する
6. 侵害後の兆候を検知・対応するためのネットワーク検知・対応機能を導入する
7. ITDRを使用して、認証情報の悪用に関するユーザーの行動を監視する
8. すべての役員アカウントに対して、フィッシング（MFA）を適用する

電子メール認証の技術的対策

電子メール認証は、ドメインなりすましに対する基本的な防御層を形成していますが、重要な制限もあります。

• SPF（Sender Policy Framework）は、どのIPアドレスがあなたのドメインを代表してメールを送信する権限を持つかを定義します
• DKIM（DomainKeys Identified Mail）は、電子メールの完全性と送信者の認証を確認するための暗号署名を付加します
• DMARC（Domain-based Message Authentication, Reporting & Conformance）は、SPFまたはDKIMの検証に失敗した場合にポリシーを適用します。「reject」に設定することで、なりすましメールが受信者に届くのを防ぐことができます

Cloudflareは、これらのプロトコルの実装に関する詳細な技術的ガイダンスを提供しています。重要な制限事項として、メール認証では、侵害された正規のアカウントや類似ドメインから発せられる攻撃を防ぐことはできません。そのため、振る舞い 本人確認プロトコルは、不可欠な補完的な対策となります。

幹部研修プログラムの設計

経営幹部には、一般的なセキュリティ意識向上プログラムでは対応しきれない、特有の研修ニーズがあります。彼らは異なる脅威に直面しており、研修に割ける時間も限られている上、自身の専門知識レベルに見合わないと感じる画一的なアプローチに抵抗を示す可能性があります。

効果的な経営幹部向けサイバーセキュリティ研修プログラムでは、Arup社のディープフェイク事件やシンガポールの事例など、最近のケーススタディを、経営幹部の共感を得られるシナリオモデルとして活用すべきです。経営幹部のアシスタントが実際の攻撃対象となることが多いため、シミュレーションは経営幹部とそのアシスタントの両方を対象とすべきです。クリック率、報告率、報告までの所要時間を通じて研修の効果を測定することで、セキュリティチームが取締役会に提示できる説明責任を果たすためのデータが得られます。

ホエールング対策のインシデント対応マニュアル

ウィリング攻撃が検知された場合、あるいは攻撃が成功した場合、損失を最小限に抑えられるか、あるいは回復できるかは、対応の速さにかかっています。FBIのBECに関するガイダンスでは、資金を回収する可能性を最大限に高めるため、48時間以内に金融機関に連絡するよう強調しています。

1. 直ちに封じ込め措置を講じる。侵害されたアカウントの利用を停止し、保留中の金融取引を保留にし、金融機関に連絡して送金を凍結するよう要請する。
2. 調査範囲の確定。電子メールのフォレンジック調査を実施して攻撃者からのすべての通信を特定し、金融取引ログを確認し、認証情報が漏洩したかどうかを評価する。
3. 通知手順。適用される枠組みの要件に従い、法務担当、コンプライアンスチーム、経営陣、および規制当局に通知を行う。
4. 復旧措置。影響を受けたすべてのアカウントの認証情報をリセットし、銀行チャネルを通じて支払いの取り消し手続きを開始するとともに、経営陣が承認した直近の取引のすべてについて、その正当性を確認する。
5. 事後分析。攻撃の連鎖を記録し、制御上の不備を特定し、検知ルールを更新し、得られた教訓を経営陣向け研修のシナリオに反映させる。

MITRE ATT&CK マッピング

MITRE ATT&CK には、ホエールングに特化したサブテクニックは含まれていません。その代わり、ホエールングはT1566「 フィッシング」に分類され、標的を組織内の高位幹部と明確に限定した、スピアフィッシングの標的型バリエーションとして扱われています。

ホエールング攻撃の検知に向けたMITRE ATT&CK サブテクニックマッピング。

振る舞い 技術は、初期の侵害発生後に生じる異常な活動パターン（例：不審なデータアクセス、予期せぬ金融取引の連鎖、権限昇格など）を特定することで、静的なメール分析では検出できない重要な防御層を追加します。

捕鯨とコンプライアンス

現在、複数の規制枠組みにおいて、フィッシング対策が義務付けられていますフィッシング 対策が義務付けられており、ホエールフィッシング対策はコンプライアンス要件であると同時に、セキュリティ上の優先事項となっています。PCI DSS v4.0の要件5.4.1では、アンチ-フィッシング 対策の導入を義務付けており、2026年3月20日に発効するNacha ACHフェーズ1の規則では、不正に開始された支払エントリに対するリスクベースの監視要件が追加されています。

捕鯨に関連するコンプライアンス要件を示す規制枠組みの対照表。

捕鯨反対運動における現代的な取り組み

最も効果的なフィッシング対策プログラムは、AIを活用したメールセキュリティと、侵害後の振る舞い 検知するネットワーク検知・対応（NDR）、侵害された認証情報の監視を行うID脅威検知・対応（ITDR）、およびアウトオブバンド認証などの運用プロトコルを組み合わせたものです。ディープフェイク検知技術は登場しつつありますが、まだ未成熟な段階にあります。組織は、これらを主要な対策として依存すべきではありません。

重要な技術的知見として、電子メールゲートウェイだけでは高度なホエールング攻撃を阻止することはできないという点があります。侵害されたアカウントを利用した攻撃は正当なメールアドレスから発信され、ディープフェイクによるなりすましは視覚的な検証を完全に回避してしまいます。防御策は、侵害が成功した際の「振る舞い 検知する段階にまで拡大する必要があります。

Vectra AI 「ホエール攻撃」の防御をどのようにVectra AI

Vectra AI は、攻撃がメール ゲートウェイや初期制御を回避した後に何が起こるかに対処する AI ドリブン型セキュリティ という視点からホエーリング攻撃対策に取り組んでいます。メール フィルタリングと認証は重要な第一層を提供しますが、高度なホエーリング攻撃、特に侵害されたアカウントやディープフェイクによるなりすましを使用する攻撃は、これらの防御を日常的に回避します。攻撃シグナル インテリジェンス は、ネットワーク、クラウド、ID の攻撃対象領域全体で、ホエーリング攻撃が成功した場合の行動上の結果を検知し、異常な金融取引パターン、異常なデータ アクセス、権限昇格、およびホエーリング攻撃が初期のソーシャル エンジニアリング フェーズを超えて進行したことを示す コマンド アンド コントロール コールバックを監視します。

今後の動向と新たな考察

捕鯨をめぐる脅威の状況は急速に変化しており、今後12～24カ月の間に経営陣が直面するリスクの様相を一変させる可能性のある動きがいくつか見られます。

AIによって生成された音声や動画は、実際のコミュニケーションと見分けがつかなくなるでしょう。ディープフェイク技術の進歩とDaaSプラットフォームの普及に伴い、説得力のある経営幹部のなりすましを行うためのコストや技術的なハードルは、今後も低下し続けるでしょう。組織は、ビデオ通話を含む未検証のコミュニケーションチャネルはすべて侵害される可能性があるという前提に立ち、それに応じた検証手順を策定すべきです。

フィッシング に対する規制の圧力は強まりつつある。PCI DSS v4.0では、フィッシングフィッシング がフィッシング 対策要件が必須となり、Nacha ACH規則が2026年3月に施行されることに伴い、文書化されたホエールング対策が不十分な組織は、セキュリティおよびコンプライアンスの両面でリスクに直面することになります。EUにおけるNIS2の施行により、BECインシデントに関する報告義務がさらに追加されています。

AIエージェントと自律型ワークフローは、新たな 攻撃対象領域を生み出すことになる。組織が財務承認機能を備えたAIエージェントを導入するにつれ、ホエール攻撃を行う攻撃者は、人間の経営幹部を標的とするのではなく、AI駆動型の意思決定システムを操作する方向にシフトしていくだろう。セキュリティチームは、自動化された財務ワークフローがどのように身元と意図を検証しているかを評価し始めるべきである。

クロスプラットフォーム攻撃が常態化するだろう。Arup社やシンガポールの事例で見られたような、電子メール、音声、ビデオ、メッセージングプラットフォームが組み合わさった攻撃手法が一般的になる。防御戦略においては、特定の通信プラットフォームに依存しないマルチチャネル認証を組み込む必要がある。

組織は、初期の攻撃経路にかかわらず侵害後の活動を検知する「振る舞い への投資、最新の事例研究を盛り込んで四半期ごとに更新される経営幹部向けの研修プログラム、および重要なリクエストすべてに対して確認済みの二次通信経路を必須とするアウト・オブ・バンド検証プロトコルを優先すべきである。

結論

「ホエールング攻撃」は、脅威の全体像において独特の位置を占めています。これは、国家主体の攻撃に見られる標的選定の精度と、組織犯罪に見られる金銭的動機とを併せ持つものです。AIを活用したディープフェイク技術によって従来の警告サインが機能しなくなり、ディープフェイク・アズ・ア・サービス（DaaS）プラットフォームによって経営幹部へのなりすましのハードルが下がる中、最も万全な備えができているのは、電子メール中心の防御から脱却し、認証、振る舞い 、経営幹部への研修、そして検証済みの運用手順に及ぶ多層的な対策を導入している組織です。

セキュリティチームにとって最も重要な変化は、考え方の転換にあります。高度なホエールング攻撃はメールゲートウェイをすり抜けるものだと想定すべきです。初期のソーシャルエンジニアリングの手法がどのようなものであったかにかかわらず、侵害が成功した際に振る舞い （異常な金融取引、認証情報の悪用、データアクセスにおける異常など）を特定できる検知・対応能力を構築してください。また、MITRE ATT&CK 規制の枠組みに準拠した対策を策定し、正当性が証明でき、証拠に基づいたプログラムを構築する必要があります。

経営幹部を標的とした攻撃による侵害後の活動に対し、「振る舞い 」と「Attack Signal Intelligence どのようにAttack Signal Intelligence について詳しく知りたい場合は、Vectra AI をご覧ください。